JP2000032049A - Gateway device, and computer readable recording medium recorded with multi-cast packet relay program - Google Patents
Gateway device, and computer readable recording medium recorded with multi-cast packet relay programInfo
- Publication number
- JP2000032049A JP2000032049A JP19995398A JP19995398A JP2000032049A JP 2000032049 A JP2000032049 A JP 2000032049A JP 19995398 A JP19995398 A JP 19995398A JP 19995398 A JP19995398 A JP 19995398A JP 2000032049 A JP2000032049 A JP 2000032049A
- Authority
- JP
- Japan
- Prior art keywords
- information
- packet
- multicast packet
- multicast
- relay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明はコンピュータネット
ワーク上のパケットを中継するゲートウェイ装置及びマ
ルチキャストパケット中継プログラムを記録したコンピ
ュータ読み取り可能な記録媒体に関し、特にインターネ
ットにおいて比較的安全にマルチキャストパケットを中
継するためのゲートウェイ装置及びマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a gateway device for relaying packets on a computer network and a computer-readable recording medium on which a multicast packet relay program is recorded, and more particularly to a method for relaying multicast packets relatively safely on the Internet. The present invention relates to a computer-readable recording medium recording a gateway device and a multicast packet relay program.
【0002】[0002]
【従来の技術】従来、組織内LAN(Local Area Networ
k)/WAN(Wide Area Network) をクラッカーなどのイ
ンターネット侵入者/妨害者から防御する手段としてフ
ァイアウォール(Firewall)といわれるゲートウェイ装
置(ここでいう「ゲートウェイ装置」は、あるネットワ
ークのゲートとなる装置という意味である)が用いられ
ている。ファイアウォールは、社内のLANとインター
ネットとの間に設置され、IP(Internet Protocol) ア
ドレスの識別によって特定のパケットのみを通過させる
ようにしている。このファイアウォール上で通信の制限
を設けることにより、組織内のLAN/WANを安全に
保つことができる。例えば、ゲートウェイホストのプラ
ットフォームのオペレーティングシステム( 以後、OS
という) としてUNIX系のOSを用いた場合、ipfilt
er(「http://coombs.anu.edu.au/ipfilter/」にて公開
されたフィルタリングのためのUNIX用ソフトウェ
ア)のようなパケットフィルタの機構を追加すること
で、ファイアウォールとして機能させることができる。2. Description of the Related Art Conventionally, an in-house LAN (Local Area Network) has been used.
k) A gateway device called a firewall as a means of protecting a WAN (Wide Area Network) from an Internet intruder / interferer such as a cracker (the “gateway device” here is a device that serves as a gate of a certain network) Meaning) is used. The firewall is installed between a company LAN and the Internet, and allows only a specific packet to pass through by identifying an IP (Internet Protocol) address. By providing communication restrictions on the firewall, the LAN / WAN in the organization can be kept safe. For example, the operating system of the platform of the gateway host (hereinafter referred to as OS
If a UNIX-based OS is used, ipfilt
By adding a packet filter mechanism such as er (UNIX software for filtering released at "http://coombs.anu.edu.au/ipfilter/"), it can function as a firewall. it can.
【0003】ところで、従来のインターネット上での通
信は、ユニキャストと呼ばれる1対1の通信が主であっ
たが、近年では、マルチキャストと呼ばれる1対多通信
が行われるようになっている。なお、マルチキャストは
パケットの複写が生じるので、パケットの複写を必要最
小限に抑制する必要がある。そのため、マルチキャスト
のパケットを中継する場合、中継の必要性の有無が、中
継先の受け取りホストの有無によって動的に設定され
る。この機構はUNIX系OSではmrouted というプロ
グラムがバックグラウンドプロセスとして常駐すること
によって実現される。[0003] Conventional communication on the Internet is mainly one-to-one communication called unicast, but recently, one-to-many communication called multicast has been performed. It should be noted that since multicasting involves copying of packets, it is necessary to minimize the copying of packets. Therefore, when relaying a multicast packet, the necessity of relaying is dynamically set according to the presence or absence of a destination receiving host. This mechanism is realized in the UNIX OS by the fact that a program called mrouted resides as a background process.
【0004】[0004]
【発明が解決しようとする課題】しかし、従来のファイ
アウォールの機能はユニキャストを前提にしており、近
年インターネット上で新しく使えるようになったマルチ
キャストには適用できなかった(「ファイアウォール構
築インターネットセキュリティ」 D. Brent Chapman, E
lizabeth D. Zwicky共著、歌代和正監訳鈴木克彦訳、オ
ライリージャパンISBN4-900900-03-6)。However, the function of the conventional firewall is based on unicast, and cannot be applied to multicast which has recently become available on the Internet (“Internet security with firewall construction”). . Brent Chapman, E
Co-authored by lizabeth D. Zwicky, translated by Kazumasa Udaishiro and translated by Katsuhiko Suzuki, O'Reilly Japan ISBN4-900900-03-6).
【0005】すなわち、実際のアプリケーションではポ
ート番号と呼ばれる情報によって、データ受渡しのアプ
リケーションが特定されているが、マルチキャストの中
継処理ではアドレスのみの情報によって中継が行われ
る。そのため、従来のゲートウェイ装置にマルチキャス
トのパケットを中継させた場合、アドレスが一致してい
てポート番号が異なるパケットも中継されることにな
る。これは、本来使用すべきアプリケーションが使用し
ないポート番号のパケットが到着した場合には、無関係
なアプリケーションに渡される可能性があることを意味
する。このようなパケットの中継を許すと、別アプリケ
ーションに対する外部からの攻撃が可能となり安全とは
言えない。[0005] That is, in an actual application, an application for data transfer is specified by information called a port number. In a multicast relay process, relay is performed only by information of an address. Therefore, when a conventional gateway device relays a multicast packet, a packet having the same address but a different port number is also relayed. This means that when a packet with a port number not used by the application that should be used originally arrives, it may be passed to an unrelated application. If such a packet is allowed to be relayed, an external attack on another application becomes possible, which is not safe.
【0006】本発明はこのような点に鑑みなされたもの
であり、マルチキャストパケットを安全に中継できるゲ
ートウェイ装置を提供することを目的とする。また、本
発明の他の目的は、マルチキャストパケットの安全な中
継をコンピュータに行わせるためのマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体を提供することである。SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and has as its object to provide a gateway device that can safely relay multicast packets. Another object of the present invention is to provide a computer-readable recording medium on which a multicast packet relay program for causing a computer to relay a multicast packet safely is recorded.
【0007】[0007]
【課題を解決するための手段】本発明では上記課題を解
決するために、マルチキャストパケットを中継するゲー
トウェイ装置において、前記マルチキャストパケットが
配信される期間が示された配信予定情報と前記マルチキ
ャストパケットとを、第1のネットワークから受信する
受信手段と、前記マルチキャストパケットを中継するた
めの条件が登録されたパケットフィルタルール情報を保
持しており、前記パケット受信手段が受信した前記マル
チキャストパケットの中継が前記パケットフィルタルー
ル情報において許されているか否かを判断するフィルタ
リング手段と、前記フィルタリング手段により中継が許
可されていると判断された前記マルチキャストパケット
を、第2のネットワーク上へ送信するパケット送信手段
と、前記パケット受信手段が受信した前記配信予定情報
に基づいて、前記マルチキャストパケットの宛先アドレ
スと、宛先となるアプリケーションプログラムの識別子
との組からなる宛先情報、及び配信期間を示す配信期間
情報を含む受信パケット情報を生成する情報解析手段
と、前記情報解析手段が生成した前記受信パケット情報
の宛先情報に合致する前記マルチキャストパケットが中
継されるように、前記パケットフィルタルール情報の内
容を更新する中継許可情報登録手段と、前記情報解析手
段が生成した前記受信パケット情報に示された配信期間
が過ぎた前記マルチキャストパケットが中継されないよ
うに、前記パケットフィルタルール情報の内容を更新す
る中継許可情報取消手段と、を有することを特徴とする
ゲートウェイ装置が提供される。According to the present invention, in order to solve the above-mentioned problems, in a gateway device for relaying a multicast packet, distribution schedule information indicating a period during which the multicast packet is distributed and the multicast packet are provided. Receiving means for receiving from the first network, and packet filter rule information in which conditions for relaying the multicast packet are registered, and relaying of the multicast packet received by the packet receiving means is performed by the packet A filtering unit that determines whether or not the filtering is permitted in the filter rule information; a packet transmitting unit that transmits the multicast packet determined to be relayed by the filtering unit to a second network; packet Based on the distribution schedule information received by the communication unit, the receiving packet information including a destination address of the multicast packet and an identifier of an application program as a destination, and distribution period information indicating a distribution period. Information generating means for generating; and relay permission information registering means for updating the contents of the packet filter rule information so that the multicast packet matching the destination information of the received packet information generated by the information analyzing means is relayed. Relay permission information canceling means for updating the contents of the packet filter rule information so that the multicast packet whose delivery period indicated by the received packet information generated by the information analyzing means has not been relayed is relayed. Is provided.
【0008】このようなゲートウェイ装置によれば、第
1のネットワークから配信予定情報が送られてくると、
その内容が情報解析手段で解析され、受信メディア情報
が生成される。すると中継許可情報登録手段により、受
信メディア情報の宛先情報に合致するパケットが中継さ
れるように、パケットフィルタルール情報の内容が更新
される。また、中継許可情報取消手段により、配信期間
の過ぎたマルチキャストパケットが中継されないよう
に、パケットフィルタルール情報の内容が更新される。
そして、第1のネットワークからマルチキャストパケッ
トが配信されると、受信手段によって受け取られ、フィ
ルタリング手段により、中継の許否が判断される。ここ
で、パケットフィルタルール情報で許可されたマルチキ
ャストパケットであれば、送信手段により第2のネット
ワーク上へ送信される。一方、パケットフィルタルール
情報で許可されていないマルチキャストパケットであれ
ば、そのパケットは中継されない。According to such a gateway device, when the distribution schedule information is sent from the first network,
The contents are analyzed by the information analysis means, and received media information is generated. Then, the content of the packet filter rule information is updated by the relay permission information registration means so that the packet matching the destination information of the received media information is relayed. Further, the content of the packet filter rule information is updated by the relay permission information canceling unit so that the multicast packet whose distribution period has passed is not relayed.
When the multicast packet is distributed from the first network, the multicast packet is received by the receiving unit, and the filtering unit determines whether or not to permit the relay. Here, if the packet is a multicast packet permitted by the packet filter rule information, the packet is transmitted to the second network by the transmission unit. On the other hand, if the multicast packet is not permitted by the packet filter rule information, the packet is not relayed.
【0009】また、上記課題を解決するために、マルチ
キャストパケットを中継するためのマルチキャストパケ
ット中継プログラムを記録したコンピュータ読み取り可
能な記録媒体において、前記マルチキャストパケットが
配信される期間が示された配信予定情報と前記マルチキ
ャストパケットとを、第1のネットワークから受信する
受信手段、前記マルチキャストパケットを中継するため
の条件が登録されたパケットフィルタルール情報を保持
しており、前記パケット受信手段が受信した前記マルチ
キャストパケットの中継が前記パケットフィルタルール
情報において許されているか否かを判断するフィルタリ
ング手段、前記フィルタリング手段により中継が許可さ
れていると判断された前記マルチキャストパケットを、
第2のネットワーク上へ送信するパケット送信手段、前
記パケット受信手段が受信した前記配信予定情報に基づ
いて、前記マルチキャストパケットの宛先アドレスと、
宛先となるアプリケーションプログラムの識別子との組
からなる宛先情報、及び配信期間を示す配信期間情報を
含む受信パケット情報を生成する情報解析手段、前記情
報解析手段が生成した前記受信パケット情報の宛先情報
に合致する前記マルチキャストパケットが中継されるよ
うに、前記パケットフィルタルール情報の内容を更新す
る中継許可情報登録手段、前記情報解析手段が生成した
前記受信パケット情報に示された配信期間が過ぎた前記
マルチキャストパケットが中継されないように、前記パ
ケットフィルタルール情報の内容を更新する中継許可情
報取消手段、としてコンピュータを機能させることを特
徴とするマルチキャストパケット中継プログラムを記録
したコンピュータ読み取り可能な記録媒体が提供され
る。According to another aspect of the present invention, there is provided a computer-readable recording medium storing a multicast packet relay program for relaying a multicast packet, the distribution schedule information indicating a period during which the multicast packet is distributed. Receiving means for receiving the multicast packet from a first network, packet filter rule information in which conditions for relaying the multicast packet are registered, and the multicast packet received by the packet receiving means. Filtering means for determining whether or not relaying is permitted in the packet filter rule information, the multicast packet determined to be relayed by the filtering means,
Packet transmitting means for transmitting on a second network, a destination address of the multicast packet based on the distribution schedule information received by the packet receiving means,
Information analyzing means for generating receiving information including destination information including a pair with an identifier of an application program serving as a destination and distribution period information indicating a distribution period; and destination information of the receiving packet information generated by the information analyzing means. Relay permission information registering means for updating the contents of the packet filter rule information so that the matching multicast packet is relayed, and the multicast whose distribution period indicated by the received packet information generated by the information analyzing means has passed. A computer-readable recording medium having a multicast packet relay program recorded thereon, wherein the computer functions as relay permission information canceling means for updating the contents of the packet filter rule information so that packets are not relayed. .
【0010】このような記録媒体に記録されたマルチキ
ャストパケット中継プログラムをコンピュータに実行さ
せれば、上記本発明に係るゲートウェイ装置の機能がコ
ンピュータで実現される。When the computer executes the multicast packet relay program recorded on such a recording medium, the functions of the gateway device according to the present invention are realized by the computer.
【0011】[0011]
【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して説明する。図1は、本発明の原理構成図であ
る。本発明のゲートウェイ装置1は、第1のネットワー
ク2と第2のネットワーク3との間に設けられている。
第1のネットワーク2では、マルチキャストパケット2
bが配信されているとともに、各マルチキャストパケッ
トを配信する期間が示された配信予定情報2aが配信さ
れている。ゲートウェイ装置1は、第1のネットワーク
2から第2のネットワーク3へのマルチキャストパケッ
トを中継するものであり、以下の要素で構成される。Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a diagram illustrating the principle of the present invention. The gateway device 1 of the present invention is provided between a first network 2 and a second network 3.
In the first network 2, the multicast packet 2
b, and the distribution schedule information 2a indicating the period for distributing each multicast packet is distributed. The gateway device 1 relays a multicast packet from the first network 2 to the second network 3, and includes the following elements.
【0012】受信手段1aは、第1のネットワーク2か
ら送られてくる配信予定情報2aとマルチキャストパケ
ット2bとを受信する。送信手段1bは、フィルタリン
グ手段1cにより中継が許可されたマルチキャストパケ
ット2bを、第2のネットワーク3上へ送信する。フィ
ルタリング手段1cは、パケットフィルタルール情報1
caを保持している。このパケットフィルタルール情報
1caには、中継してもよいパケットの配信先アドレス
とアプリケーションの識別子(ポート番号)との組が設
定されている。そして、フィルタリング手段1cは、パ
ケットフィルタルール情報に基づいて、受信手段1aが
受け取ったマルチキャストパケット2bを中継すべきか
否かを判断する。すなわち、受信手段1aが受け取った
マルチキャストパケット2bの配信先アドレスと、配信
パケットを受け取るべきアプリケーションの識別子との
組がパケットフィルタルール情報に登録されていた場合
に、そのマルチキャストパケット2bの中継を許可す
る。The receiving means 1a receives the distribution schedule information 2a and the multicast packet 2b sent from the first network 2. The transmitting unit 1b transmits the multicast packet 2b permitted to be relayed by the filtering unit 1c to the second network 3. The filtering means 1c includes the packet filter rule information 1
ca. In the packet filter rule information 1ca, a set of a destination address of a packet that may be relayed and an identifier (port number) of an application is set. Then, the filtering unit 1c determines whether to relay the multicast packet 2b received by the receiving unit 1a based on the packet filter rule information. That is, when a pair of the destination address of the multicast packet 2b received by the receiving unit 1a and the identifier of the application that should receive the distribution packet is registered in the packet filter rule information, the relay of the multicast packet 2b is permitted. .
【0013】情報解析手段1dは、受信手段1aが受け
取った配信予定情報2aの内容を解析し、配信される予
定のメディア毎の受信メディア情報1gを生成する。受
信メディア情報1gには、宛先アドレス、宛先アプリケ
ーションの識別子(ポート番号)の組(宛先情報)と、
配信期間を示す配信期間情報とが含まれる。中継許可情
報登録手段1eは、受信メディア情報に基づいて中継可
能なメディアの宛先情報を特定し、そのメディアのパケ
ットが中継されるようにパケットフィルタルール情報1
caの内容を更新する。中継許可情報取消手段1fは、
受信メディア情報1gに基づいて、配信予定期間が経過
したメディアを特定し、配信期間が過ぎたメディアのパ
ケットの中継が拒絶されるように、パケットフィルタル
ール情報1caの内容を更新する。The information analyzing means 1d analyzes the contents of the distribution schedule information 2a received by the receiving means 1a, and generates reception media information 1g for each medium to be distributed. The reception media information 1g includes a set (destination information) of a destination address, a destination application identifier (port number),
And distribution period information indicating a distribution period. The relay permission information registration unit 1e specifies destination information of a relayable medium based on the received media information, and sets the packet filter rule information 1 so that a packet of the medium is relayed.
Update the contents of ca. The relay permission information canceling means 1f includes:
Based on the received media information 1g, the media whose distribution scheduled period has elapsed is specified, and the contents of the packet filter rule information 1ca are updated so that the relay of the packet of the media whose distribution period has passed is rejected.
【0014】このようなゲートウェイ装置1によれば、
第1のネットワーク2から配信予定情報2aが送られて
くると、それを受信手段1aが受け取る。受信手段1a
が受け取った配信予定情報2aは、情報解析手段1dに
渡される。次に、配信予定情報2aの内容が情報解析手
段1dで解析され、受信メディア情報1gが生成され
る。生成された受信メディア情報1gは、中継許可情報
登録手段1eと中継許可情報取消手段1fに送られる。
すると、中継許可情報登録手段1eにより、受信メディ
ア情報1gに示された宛先のマルチキャストパケット2
bが中継されるように、パケットフィルタルール情報1
caの内容が更新される。また、中継許可情報取消手段
1fにより、配信期間が過ぎたマルチキャストパケット
2bが中継されないように、パケットフィルタルール情
報1caの内容が更新される。According to such a gateway device 1,
When the distribution schedule information 2a is sent from the first network 2, the receiving means 1a receives it. Receiving means 1a
Is delivered to the information analysis means 1d. Next, the content of the distribution schedule information 2a is analyzed by the information analysis means 1d, and the reception media information 1g is generated. The generated reception media information 1g is sent to the relay permission information registration unit 1e and the relay permission information cancellation unit 1f.
Then, the multicast packet 2 of the destination indicated in the reception media information 1g is registered by the relay permission information registration unit 1e.
b, so that packet filter rule information 1
The content of ca is updated. The contents of the packet filter rule information 1ca are updated by the relay permission information canceling unit 1f so that the multicast packet 2b whose distribution period has passed is not relayed.
【0015】そして、第1のネットワーク2からマルチ
キャストパケット2bが配信されると、そのマルチキャ
ストパケット2bが受信手段1aで受け取られる。この
ときパケットフィルタルール情報1caで許されたマル
チキャストパケット2bであれば、フィルタリング手段
1cにより中継が許可される。中継が許可された場合に
は、送信手段1bにより第2のネットワーク3上にマル
チキャストパケット2bが送信される。これにより、第
2のネットワーク3に接続され、マルチキャストパケッ
ト2bの宛先情報に合致する情報を受け取り可能なクラ
イアント装置が、マルチキャストパケット2bを受け取
ることができる。When the multicast packet 2b is distributed from the first network 2, the multicast packet 2b is received by the receiving means 1a. At this time, if the multicast packet 2b is permitted by the packet filter rule information 1ca, the relay is permitted by the filtering means 1c. When the relay is permitted, the transmission means 1b transmits the multicast packet 2b on the second network 3. Thus, a client device connected to the second network 3 and capable of receiving information matching the destination information of the multicast packet 2b can receive the multicast packet 2b.
【0016】このように、配信予定情報2aで示された
宛先のマルチキャストパケット2bのみを中継すること
により、必要最低限のマルチキャストパケットのみを第
2のネットワーク3上へ送信することができ、マルチキ
ャストパケットを他のアプリケーションやサーバに影響
を与えない様に通過させることができる。その結果、マ
ルチキャストパケット2bの中継を行いながらも、第2
のネットワーク3への第1のネットワーク2からの不正
アクセスを排除することができる。As described above, by relaying only the multicast packet 2b of the destination indicated by the distribution schedule information 2a, only the minimum necessary multicast packet can be transmitted onto the second network 3, and the multicast packet can be transmitted. Can be passed without affecting other applications or servers. As a result, while relaying the multicast packet 2b, the second
Unauthorized access from the first network 2 to the third network 3 can be eliminated.
【0017】ここで、インターネット等のネットワーク
上でマルチキャストのアドレス/ポート情報を交換する
プロトコルとしてSDP(Session Description Protoco
l)がある。このプロトコルでは、使用するセッションの
発信者、送信アドレス、ポート、開始時間、終了時間な
どの情報が定期的にマルチキャストパケットで流されて
いる。そこで、このSDPを本発明の配信予定情報の受
け渡しとして用いることができる。すなわち、このプロ
トコルおよび、そのプロトコルでアナウンスされている
使用アドレス/ポートの組のパケットをその使用時間の
期間のみ通すようにして、それ以外を通さないようにす
れば、攻撃/侵入の可能性を大幅に減らすことができ
る。そこで、SDPを用いて本発明のゲートウェイ装置
を実現した場合の実施の形態を、以下に説明する。Here, SDP (Session Description Protocol) is used as a protocol for exchanging multicast address / port information on a network such as the Internet.
l). In this protocol, information such as a sender, a transmission address, a port, a start time, and an end time of a session to be used are regularly transmitted in a multicast packet. Then, this SDP can be used as delivery of the distribution schedule information of the present invention. That is, if the protocol and the packet of the used address / port set announced by the protocol are allowed to pass only during the usage time and not the other, the possibility of attack / intrusion is reduced. Can be significantly reduced. Therefore, an embodiment in which the gateway device of the present invention is realized using SDP will be described below.
【0018】図2は、本発明を適用するネットワークの
概念図である。本発明のゲートウェイ装置100は、イ
ンターネット11を介して各種情報を提供するサーバ装
置10に接続されているとともに、LANの内部セグメ
ント21を介して、複数のクライアント装置22〜24
に接続されている。クライアント装置22〜24は、イ
ンターネット11上の他のコンピュータから保護すべき
コンピュータである。FIG. 2 is a conceptual diagram of a network to which the present invention is applied. The gateway device 100 of the present invention is connected to a server device 10 that provides various information via the Internet 11 and has a plurality of client devices 22 to 24 via an internal segment 21 of the LAN.
It is connected to the. The client devices 22 to 24 are computers to be protected from other computers on the Internet 11.
【0019】図3は、ゲートウェイ装置の内部構成を示
す図である。図に示すように、ゲートウェイ装置100
は、2つのネットワークインタフェース111,112
を有している。一方のネットワークインタフェース11
1はインターネット11に接続されており、他方のネッ
トワークインタフェース112はLANの内部セグメン
ト21に接続されている。FIG. 3 is a diagram showing the internal configuration of the gateway device. As shown in the figure, the gateway device 100
Are two network interfaces 111 and 112
have. One network interface 11
1 is connected to the Internet 11, and the other network interface 112 is connected to the internal segment 21 of the LAN.
【0020】ゲートウェイ装置100内部には、装置全
体を制御するためのオペレーティングシステム(OS)
120が導入されている。この例では、UNIX系のO
Sを用いるものとする。ネットワークインタフェース1
11,112との入出力データ(パケット)はこのOS
120が適切に振り分ける。振り分けるためには、パケ
ット送受信部131,132とフィルタリング処理部1
40との機能が利用される。An operating system (OS) for controlling the entire device is provided inside the gateway device 100.
120 have been introduced. In this example, UNIX O
S shall be used. Network interface 1
The input / output data (packet) with the OS 11 and 112 is
120 sorts appropriately. To distribute the packet, the packet transmitting / receiving units 131 and 132 and the filtering processing unit 1
The functions with the function 40 are used.
【0021】パケット送受信部131,132は、ネッ
トワークインタフェース111,112を介して受け取
ったパケットをOS120に渡す。また、OS120か
ら受け取ったパケットを、ネットワークインタフェース
111,112を介して他のコンピュータへ送信する。
このパケット送受信部131,132があることで、マ
ルチキャストパケットを中継することができる。この機
能は、UNIX系のOSの基本構成として含まれてい
る。マルチキャストは、パケットの複写が生じるが、そ
のパケットの複写を必要最小限に抑制するために、mrou
ted というプログラムをバックグラウンドプロセスとし
て常駐させることによって、受け取りを希望しているク
ライアントが存在しているか否かにより、中継の必要性
の有無を動的に設定することができる。すなわち、内部
セグメント21に接続されたコンピュータの中で、マル
チキャストパケットの受け取りを希望しているクライア
ント装置が存在しなければ、たとえ中継が許可されてい
るパケットであっても、内部セグメント21上へ出力さ
れることはない。The packet transmission / reception units 131 and 132 pass the packets received via the network interfaces 111 and 112 to the OS 120. Further, it transmits the packet received from the OS 120 to another computer via the network interfaces 111 and 112.
The presence of the packet transmission / reception units 131 and 132 enables the relay of a multicast packet. This function is included as a basic configuration of a UNIX-based OS. Multicast causes packet duplication, but in order to minimize duplication of the packet, mrou
By making the ted program resident as a background process, the necessity of relaying can be dynamically set depending on whether or not there is a client who wants to receive the program. That is, if there is no client device that desires to receive the multicast packet among the computers connected to the internal segment 21, even if the packet is permitted to be relayed, the packet is output onto the internal segment 21. It will not be done.
【0022】フィルタリング処理部140は、パケット
送受信部131,132が受け取ったパケットを中継し
てもよいか否かの判定を行う。具体的には、中継できる
パケットのアドレス/ポートの組のリストをパケットフ
ィルタルール情報として保持しておき、パケットフィル
タルール情報に登録されているパケットのみ中継を認め
る。このパケットフィルタリング機能は、例えばUNI
X系のOSにipfilterを組み込むことで実現できる。The filtering processing unit 140 determines whether the packets received by the packet transmitting / receiving units 131 and 132 may be relayed. More specifically, a list of address / port pairs of packets that can be relayed is held as packet filter rule information, and only packets registered in the packet filter rule information are allowed to be relayed. This packet filtering function is, for example, UNI
This can be achieved by incorporating an ipfilter into an X-based OS.
【0023】パケットフィルタルール情報の内容は、マ
ルチキャストパケット中継制御部150によって書き換
えられる。マルチキャストパケット中継制御部150
は、マルチキャストパケットに関するパケットフィルタ
ルール情報の内容更新処理を行っており、情報収集部1
51、中継許可情報登録部152、及び中継許可情報取
消部153を有している。情報収集部151は、SDP
の内容を解析し、使用アドレス及びポートの組の情報を
収集する。そして、受信メディア情報を生成する。中継
許可情報登録部152は、受信メディア情報に基づい
て、パケットフィルタルール情報に対してアドレス及び
ポートの組の単位で中継の可否を設定する。中継許可情
報取消部153は、受信メディア情報に基づいて、使用
されなくなったアドレス及びポートの組の情報を検出
し、該当するマルチキャストパケットに関する情報を、
パケットフィルタルール情報内から削除する。なお、マ
ルチキャストパケット中継制御部150は、実際には1
つのプログラムとして設けられ、単一のバックグラウン
ドプロセスとしてゲートウェイ装置内に常駐する。The contents of the packet filter rule information are rewritten by the multicast packet relay control unit 150. Multicast packet relay control unit 150
Performs the content update processing of the packet filter rule information related to the multicast packet.
51, a relay permission information registration unit 152, and a relay permission information cancellation unit 153. The information collection unit 151 uses the SDP
Is analyzed, and information on a set of a used address and a port is collected. Then, reception media information is generated. The relay permission information registration unit 152 sets whether or not to relay the packet filter rule information in units of a set of an address and a port based on the received media information. The relay permission information canceling unit 153 detects information on a set of an unused address and port based on the received media information, and outputs information on the corresponding multicast packet.
Delete from packet filter rule information. Note that the multicast packet relay control unit 150 actually
It is provided as one program and resides in the gateway device as a single background process.
【0024】このようなシステムにおけるマルチキャス
トパケットの中継処理を以下に説明する。図4は、マル
チキャストパケットの中継処理手順を示すフローチャー
トである。以下のフローチャートをステップ番号に沿っ
て説明する。 [S1]マルチキャストパケット中継制御部150が、
まず引数を解析する。引数としては、制御するインター
フェース指定やログ情報の出力方法指定などがある。 [S2]マルチキャストパケット中継制御部150は、
シグナル処理を初期化する。具体的には、プログラム終
了時に初期状態に戻すような処理を行うよう、シグナル
処理ルーチンの設定を行う。 [S3]マルチキャストパケット中継制御部150は、
自己のプロセスをバックグラウンド化する。すなわち、
自分自信をfork(自分自身の複製を子プロセスとして生
成する処理)し、子プロセスはそのまま実行続行し、親
プロセスは終了して制御を戻す。バックグラウンド化す
ることにより、プロセスを安定して動作させることがで
きる。 [S4]マルチキャストパケット中継制御部150は、
SDPアドレス/ポートの受信準備を行う。具体的に
は、SDP情報の流れるアドレス/ポートに対してsock
et/bind (マルチキャストパケットを取得するためのグ
ループに参加する処理)を行う。 [S5]マルチキャストパケット中継制御部150は、
入力を待つ。具体的には、タイムアウト(この場合30
秒)を指定してselect(タイムアウト時の動作を指定す
る処理)をかけ、SDPアドレス/ポートに入力がある
までプログラムをsleep (指定した時まで指令を遅らせ
る処理)状態にする。 [S6]マルチキャストパケット中継制御部150は、
入力があったか否かを判断する。入力があったら、ステ
ップS7に進み、入力がなければステップS8に進む。 [S7]入力があったら、情報収集部151がSDPの
情報を読み込み、その情報を解析する。SDPのヘッダ
を取り除くと、各使用メディア情報は以下の図に示すよ
うなSAP(Session Announcement Protocol) で記述さ
れているので、そのメディア情報を解析する。The relay processing of the multicast packet in such a system will be described below. FIG. 4 is a flowchart showing the procedure of relaying a multicast packet. The following flowchart will be described along the step numbers. [S1] The multicast packet relay control unit 150
First, analyze the arguments. The arguments include specification of an interface to be controlled and specification of an output method of log information. [S2] The multicast packet relay control unit 150
Initialize signal processing. More specifically, the signal processing routine is set so as to perform processing for returning to the initial state when the program ends. [S3] The multicast packet relay control unit 150
Bring your own process to the background. That is,
Fork one's own self (a process of generating a copy of oneself as a child process), the child process continues execution, and the parent process ends and returns control. By setting the background, the process can be operated stably. [S4] The multicast packet relay control unit 150
Prepare to receive SDP address / port. To be more specific, sock is used for the address / port where the SDP information flows.
Perform et / bind (process to join the group for acquiring multicast packets). [S5] The multicast packet relay control unit 150
Wait for input. Specifically, a timeout (30 in this case)
(Seconds) and select (processing to specify the operation at the time of timeout), and put the program into sleep (processing to delay the command until the specified time) until there is an input to the SDP address / port. [S6] The multicast packet relay control unit 150
It is determined whether or not an input has been made. If there is an input, the process proceeds to step S7, and if not, the process proceeds to step S8. [S7] If there is an input, the information collecting unit 151 reads the information of the SDP and analyzes the information. When the SDP header is removed, each piece of used media information is described in SAP (Session Announcement Protocol) as shown in the following figure, so that the media information is analyzed.
【0025】図5は、SAP情報の例を示す図である。
SAP情報30内の「v」はバージョンを示している。
「o」はoriginの意味であり、発信者に関する情報が設
定されている。「mmaeda」は発信者の識別子である。
「3102815875」は開始時刻であり、「3102815901」は終
了時刻である。なお、時刻表記は、NTP(Network Tim
e Protocol) を用いている。「IN IP4」はインターネッ
トのバージョン4であることを示している。「202.221.
74.12 」はIPアドレスである。「s」はタイトルであ
る。「i」は付記的事項である。「p」は作成者を示し
ている。「e」は作成者のメールアドレスである。
「t」は情報の配信開始時間と配信終了時間を示してい
る。「a」は情報を受け取るためのツールに関する各種
情報である。「m」は配信されるメディアに関する情報
であり、メディアのタイプ(audio )、ポート番号(205
94) 、プロトコル(RTP/AVP 0) が設定されている。
「c」は情報を受信するためのグループアドレス(239.1
33.82.90) に関する情報が登録されている。FIG. 5 is a diagram showing an example of the SAP information.
“V” in the SAP information 30 indicates a version.
"O" means "origin", and information on a caller is set. “Mmaeda” is the identifier of the sender.
“3102815875” is the start time, and “3102815901” is the end time. The time notation is in NTP (Network Tim
e Protocol). “IN IP4” indicates version 4 of the Internet. `` 202.221.
74.12 "is the IP address. “S” is a title. “I” is an additional matter. “P” indicates the creator. “E” is the mail address of the creator.
“T” indicates a distribution start time and a distribution end time of information. “A” is various information related to a tool for receiving information. “M” is information about the media to be distributed, and includes the media type (audio) and port number (205).
94) The protocol (RTP / AVP 0) is set.
“C” is a group address (239.1) for receiving information.
33.82.90) is registered.
【0026】このようなSAPを解析した結果、必要な
情報のみ取り出され、受信メディア情報の内部表現構造
体の配列に収容される。図6は、受信メディア情報の内
部表現構造体の例を示す図である。内部表現構造体40
には、次のような情報が定義されている。「struct in
_addr srcaddr; 」では、発信元のアドレスが定義され
る。「struct in _addr addr;」では、宛先のグループ
のアドレスが定義される。「u _short port; 」では、
使用されるアプリケーションプログラムのポート番号が
定義される。「time_t stime, etime, ltime;」では、
情報配信の開始時刻、終了時刻、及びライフタイムが設
定される。開始時間は番組の開始時刻であり、終了時間
は番組の終了時刻である。ライフタイムは、一定時間セ
ッション情報が流れてこなかった場合の最大の待ち時間
である。SDPを受け取った時からライフタイムで設定
された時間経過するまでに次のSDPが流れてこなかっ
たら、その番組の配信が終了したものと認識する。「in
t filtered; 」は、登録済みか否かの情報である。As a result of analyzing the SAP, only necessary information is extracted and stored in the array of the internal representation structure of the received media information. FIG. 6 is a diagram illustrating an example of the internal representation structure of the received media information. Internal representation structure 40
Defines the following information. "Struct in
“_Addr srcaddr;” defines the source address. In “struct in_addr addr;”, the address of the destination group is defined. "U_short port;"
The port number of the application program used is defined. "Time_tstime, etime, ltime;"
A start time, an end time, and a lifetime of information distribution are set. The start time is the start time of the program, and the end time is the end time of the program. The lifetime is the maximum waiting time when session information has not flowed for a certain period of time. If the next SDP does not flow from the time when the SDP is received until the time set by the lifetime elapses, it is recognized that the distribution of the program has ended. "In
“t filtered;” is information on whether or not the information has been registered.
【0027】このような内部表現の構造体を配信される
情報ごとに収容する。このとき、もう既に受信済の情報
であれば、情報のライフタイムを延長する。これは使わ
れなくなったと思われる受信メディア情報、及びその受
信メディア情報に基づいて定義されたルールを消去する
ために使用する。The structure of such an internal representation is accommodated for each piece of information to be distributed. At this time, if the information has already been received, the lifetime of the information is extended. This is used to delete received media information that is considered to be obsolete and rules defined based on the received media information.
【0028】以下、図4の説明に戻る。 [S8]中継許可情報登録部152が、通過ルールを追
加する。具体的には、セッション開始から終了までの時
間内に入るとその使用メディア情報に相当するアドレス
とポートの通過ルールを、フィルタリング処理部140
のパケットフィルタルーツ情報に設定する。ルールの設
定が完了したら、そのメディアに関する受信メディア情
報に設定済のフラグをセットする。 [S9]中継許可情報取消部153は、不要ルールの削
除、及び情報の整理を行う。具体的には、配信終了時刻
が過ぎた受信メディア情報、およびSAPが来なくなっ
て一定期間( ライフタイム) 経っており、不要と思われ
る受信メディア情報のルールを、パケットフィルタルー
ル情報から削除する。このステップS9の処理が終了し
たら、ステップS5へ戻る。The description returns to FIG. [S8] The relay permission information registration unit 152 adds a passage rule. Specifically, when the time passes from the start to the end of the session, the passing rule of the address and port corresponding to the used media information is set to the filtering processing unit 140
Set in the packet filter root information. When the setting of the rule is completed, the already-set flag is set in the reception media information on the media. [S9] The relay permission information canceling unit 153 deletes unnecessary rules and organizes information. More specifically, the reception media information whose distribution end time has passed and the rule of the reception media information which has been deemed unnecessary since a certain period (lifetime) has passed since the SAP has not arrived are deleted from the packet filter rule information. Upon completion of the process in the step S9, the process returns to the step S5.
【0029】以下に、ステップS7、ステップS8、ス
テップS9の詳細な手順を説明する。図7は、SDP情
報読み込み/解析処理のフローチャートである。これ
は、全て情報収集部151が行う処理である。 [S11]読み取りバッファにパケットの内容をコピー
する。 [S12]SDPヘッダを解析する。 [S13]プロトコルとバージョンを確認する。SDP
プロトコルのバージョンが一致していない場合は処理を
終了する。また新規情報か削除情報かのフラグを取り出
す。 [S14]SDPヘッダをスキップし、SAPの部分を
取り出す。そして、最初にSAPの1行目を選択し、以
下の処理を行う。 [S15]選択した行が「o(Origin)」行であれば、次
の処理を行う。すなわち、ネットワークタイプが「IN」
でプロトコルタイプが「IP4 」なら、発信元アドレスを
セッションソースアドレスとして受信メディア情報に登
録する。以後、受信メディア情報の改変情報に対しては
このアドレスが一致した場合のみ改変する。 [S16]選択した行が「c(Connection) 」行であれ
ば、次の処理を行う。すなわち、ネットワークタイプが
「IN」でプロトコルタイプが「IP4 」なら、この行の宛
先アドレスを受信メディア情報にセットする。なお、こ
のときSDPのタイプが新規情報なら新たに登録する
が、削除情報なら削除する。 [S17]選択した行が「m(Media)」行であれば、次の
処理を行う。すなわち、そのメディアを利用するのに必
要なアプリケーションのポート番号を読み取り、受信メ
ディア情報に登録する。 [S18]選択した行が「t(Time) 」行であれば、開始
時刻と終了時刻情報を読み取る。このとき、後々の処理
の高速化のため、内部フォーマットに変換しておく。 [S19]最初の受信メディア情報の生成が完了したか
否かを判断する。完了したのであればステップS20に
進み、完了していなければステップS15に進む。 [S20]未処理行が残っているか否かを判断し、残っ
ていれば次の行を選択してステップS21へ進み、残っ
ていなければ処理を終了する。 [S21]選択した行が「c(Connection) 」行であれ
ば、新たな受信メディア情報として、次の処理を行う。
すなわち、ネットワークタイプが「IN」でプロトコルタ
イプが「IP4 」なら、宛先アドレスを受信メディア情報
にセットする。このときSDPのタイプが新規情報なら
登録し、削除情報なら削除する。なお、新たに定義する
受信メディア情報のセッションソースアドレス、及び開
始時刻と終了時刻情報は、ステップS15とステップS
18で取得した値と同じ値を設定する。 [S22]選択した行が「m(Media)」行であれば、次の
処理を行う。すなわち、そのメディアを利用するのに必
要なアプリケーションのポート番号を読み取り、ステッ
プS21で定義した受信メディア情報に登録する。この
処理が終了したら、ステップS20に進む。Hereinafter, detailed procedures of steps S7, S8, and S9 will be described. FIG. 7 is a flowchart of the SDP information reading / analyzing process. This is all processing performed by the information collection unit 151. [S11] The contents of the packet are copied to the read buffer. [S12] The SDP header is analyzed. [S13] The protocol and version are confirmed. SDP
If the protocol versions do not match, the process ends. Further, a flag indicating whether the information is new information or deletion information is extracted. [S14] The SDP header is skipped, and the SAP portion is extracted. Then, first, the first row of the SAP is selected, and the following processing is performed. [S15] If the selected row is the “o (Origin)” row, the following processing is performed. That is, if the network type is "IN"
If the protocol type is "IP4", the source address is registered as the session source address in the received media information. After that, the modification information of the reception media information is modified only when this address matches. [S16] If the selected line is the “c (Connection)” line, the following processing is performed. That is, if the network type is "IN" and the protocol type is "IP4", the destination address of this line is set in the reception media information. At this time, if the SDP type is new information, it is newly registered, but if it is deletion information, it is deleted. [S17] If the selected row is the “m (Media)” row, the following processing is performed. That is, the port number of the application required to use the media is read and registered in the received media information. [S18] If the selected line is the "t (Time)" line, the start time and end time information is read. At this time, the data is converted into an internal format in order to speed up the subsequent processing. [S19] It is determined whether the generation of the first received media information has been completed. If completed, the process proceeds to step S20, and if not completed, the process proceeds to step S15. [S20] It is determined whether or not unprocessed rows remain, and if so, the next row is selected and the process proceeds to step S21. If not, the process ends. [S21] If the selected row is the "c (Connection)" row, the following processing is performed as new received media information.
That is, if the network type is “IN” and the protocol type is “IP4”, the destination address is set in the received media information. At this time, if the SDP type is new information, it is registered, and if it is deletion information, it is deleted. Note that the session source address of the newly defined reception media information, and the start time and end time information are described in step S15 and step S15.
Set the same value as the value obtained in step 18. [S22] If the selected row is the “m (Media)” row, the following processing is performed. That is, the port number of the application required to use the medium is read and registered in the reception medium information defined in step S21. When this process ends, the process proceeds to a step S20.
【0030】図8は、通過ルール追加処理ルーチンのフ
ローチャートである。この処理は、全て中継許可情報登
録部152が行う処理である。 [S31]未処理の受信メディア情報を1つ選択する。 [S32]選択した受信メディア情報を中継するための
ルールを作成する。具体的には、内部表現からioctl
(I/Oをコントロールするためのシステムコール)の
ための構造体に設定しなおす。 [S33]選択した受信メディア情報が登録済でなく、
開始時刻より現在時刻の方があとの場合、ioctl システ
ムコールにより、フィルタリング処理部140が有して
いるパケットフィルタルール情報内に、ステップS32
で作成したルールを登録する。 [S34]未処理の受信メディア情報があるか否かを判
断し、未処理の受信メディア情報がある場合にはステッ
プS31に進み、全ての受信メディア情報の処理が終了
した場合には、処理を終了する。FIG. 8 is a flowchart of a passage rule addition processing routine. This process is all performed by the relay permission information registration unit 152. [S31] One unprocessed received media information is selected. [S32] A rule for relaying the selected received media information is created. Specifically, the ioctl
(System call for controlling I / O). [S33] The selected receiving media information is not registered,
If the current time is later than the start time, the ioctl system call is used to store the packet filter rule information in the packet filter rule information of the filtering processing unit 140 in step S32.
Register the rule created in. [S34] It is determined whether or not there is unprocessed received media information. If there is unprocessed received media information, the process proceeds to step S31. If all the received media information has been processed, the process is terminated. finish.
【0031】図9は、不要ルール削除/情報整理ルーチ
ンのフローチャートである。これは、中継許可情報取消
部153が行う処理である。 [S41]未処理の受信メディア情報を1つ選択する。 [S42]選択した受信メディアが登録済みが否かを判
断する。登録済みであればステップS43に進み、登録
済みでなければステップS46に進む。 [S43]情報の配信時間外か否か、すなわちライフタ
イムまたは終了時刻より現在時刻が後であるか判定す
る。配信時間外であればステップS44に進み、時間内
であればステップS46に進む。 [S44]ルールを作成する。具体的には、内部表現か
らioctl のための構造体に設定しなおす。 [S45]フィルタリング処理部140が有しているパ
ケットフィルタルール情報内の、ステップS44で作成
したルールに該当するルールを削除する。具体的には、
ioctl システムコールにより該当するルールをカーネル
内より削除する。 [S46]未処理の受信メディアがあるか否かを判断
し、未処理の受信メディアがあればステップS41に進
み、なければ処理を終了する。FIG. 9 is a flowchart of an unnecessary rule deletion / information arrangement routine. This is a process performed by the relay permission information canceling unit 153. [S41] One unprocessed received media information is selected. [S42] It is determined whether the selected receiving medium has been registered. If registered, the process proceeds to step S43, and if not registered, the process proceeds to step S46. [S43] It is determined whether the time is outside the information distribution time, that is, whether the current time is later than the lifetime or the end time. If it is outside the distribution time, the process proceeds to step S44, and if it is within the time, the process proceeds to step S46. [S44] A rule is created. Specifically, reset the internal representation to a structure for ioctl. [S45] The rule corresponding to the rule created in step S44 is deleted from the packet filter rule information of the filtering processing unit 140. In particular,
Delete the corresponding rule from the kernel using the ioctl system call. [S46] It is determined whether there is an unprocessed reception medium. If there is an unprocessed reception medium, the process proceeds to step S41; otherwise, the process ends.
【0032】以上のようにして、パケットフィルタルー
ルを設定することで、情報の配信が予定されているパケ
ットのみが、ゲートウェイ装置で中継される。ここで、
実際の動作のためには、以下のような初期パケットフィ
ルタルール情報を設定しておく。By setting the packet filter rules as described above, only the packets for which information distribution is scheduled are relayed by the gateway device. here,
For the actual operation, the following initial packet filter rule information is set.
【0033】図10は、初期パケットフィルタルール情
報の例を示す図である。この初期パケットフィルタルー
ル情報50では、1行目のルールにより、マルチキャス
トアドレス領域(「224.0.0.0 」〜「239.255.255.255
」)を基本的にブロックしている。その上で、3行目
のルールによりSDPの情報が流れるポート(UDP(U
ser Datagram Protocol)の9875番のポート)のパケット
を通するようにしている。FIG. 10 is a diagram showing an example of initial packet filter rule information. In the initial packet filter rule information 50, the multicast address area (“224.0.0.0” to “239.255.255.255”)
") Is basically blocking. Then, the port (UDP (U
ser Datagram Protocol) port 9875).
【0034】この状態の時に、図5に示したようなSA
P情報が来た場合には、図10に加えて、以下のような
ルールが追加される。図11は、追加登録されるパケッ
トフィルタルールを示す図である。この例で追加される
ルール51の1行目は、トランスポート層のプロトコル
がUDPであり、宛先アドレスが「239.133.82.90 」で
あり、ポート番号が「20593 」より大きく「20596 」よ
り小さいパケットを通すように指定している。また、2
行目では、トランスポート層のプロトコルがUDPであ
り、宛先アドレスが「239.133.109.125 」であり、ポー
ト番号が「49231 」より大きく「49234 」より小さいパ
ケットを通すように指定している。ここで、ポートの指
定が単一でなく範囲の指定になっているのは、実際には
復路の情報としてRTCP(Realtime TransportControl
Protocol) のためのポートが必要となるからである。
このルールは開始時刻を過ぎると登録され、終了時刻が
過ぎると削除される。また、SAP情報が来なくなって
一定時間( ライフタイム) 経っても削除される。In this state, the SA shown in FIG.
When the P information arrives, the following rules are added in addition to FIG. FIG. 11 is a diagram illustrating packet filter rules to be additionally registered. The first line of the rule 51 added in this example is a packet whose transport layer protocol is UDP, whose destination address is “239.133.82.90”, and whose port number is larger than “20593” and smaller than “20596”. It is specified to pass. Also, 2
In the line, the transport layer protocol is UDP, the destination address is "239.133.109.125", and the port number is specified to pass packets larger than "49231" and smaller than "49234". In this case, the port specification is not a single port but a range. In fact, RTCP (Realtime Transport Control) is used as return information.
Protocol).
This rule is registered after the start time and deleted after the end time. Further, even if a certain period of time (life time) has passed after the SAP information has stopped coming, it is deleted.
【0035】以上説明したように、パケットフィルタル
ール情報の内容が逐次更新されることにより、マルチキ
ャストパケットが配信される間だけ、その配信に使われ
るアドレス/ポートの組のパケットのみ中継されるよう
になる。その結果、従来のファイアウォールでは越えさ
せられなかった、あるいは、不安全を承知で越えさせる
しかなかったマルチキャストパケットの中の必要なパケ
ットのみを、他のアプリケーションやサーバに影響を与
えずに通過させることができるようになる。As described above, by sequentially updating the contents of the packet filter rule information, only the packet of the address / port pair used for the distribution is relayed while the multicast packet is being distributed. Become. As a result, only the necessary packets among the multicast packets that could not be passed by conventional firewalls or could only be passed by knowing the insecurity were passed without affecting other applications or servers Will be able to
【0036】このことにより、ファイアウォールの内側
のマルチキャストクライアントの安全を保ちながらイン
ターネットと同様の情報流通ができるようになる。な
お、上記の処理機能は、コンピュータによって実現する
ことができる。その場合、ゲートウェイ装置が有すべき
機能の処理内容は、コンピュータで読み取り可能な記録
媒体に記録されたプログラムに記述しておく。そして、
このプログラムをコンピュータで実行することにより、
上記処理がコンピュータで実現される。コンピュータで
読み取り可能な記録媒体としては、磁気記録装置や半導
体メモリ等がある。市場に流通させる場合には、CD−
ROM(Compact Disk Read Only Memory) やフロッピー
ディスク等の可搬型記録媒体にプログラムを格納して流
通させたり、ネットワークを介して接続されたコンピュ
ータの記憶装置に格納しておき、ネットワークを通じて
他のコンピュータに転送することもできる。コンピュー
タで実行する際には、コンピュータ内のハードディスク
装置等にプログラムを格納しておき、メインメモリにロ
ードして実行する。As a result, the same information distribution as that of the Internet can be performed while maintaining the security of the multicast client inside the firewall. Note that the above processing functions can be realized by a computer. In this case, the processing content of the function that the gateway device should have is described in a program recorded on a computer-readable recording medium. And
By running this program on a computer,
The above processing is implemented by a computer. Examples of the computer-readable recording medium include a magnetic recording device and a semiconductor memory. When distributing to the market, CD-
The program is stored and distributed in a portable recording medium such as a ROM (Compact Disk Read Only Memory) or a floppy disk, or stored in a storage device of a computer connected via a network, and is stored in another computer through the network. You can also transfer. When the program is executed by the computer, the program is stored in a hard disk device or the like in the computer, and is loaded into the main memory and executed.
【0037】[0037]
【発明の効果】以上説明したように本発明のゲートウェ
イ装置では、マルチキャストパケットが配信される間だ
けそのマルチキャストパケットの中継を可能としたた
め、必要なマルチキャストパケットのみを他のアプリケ
ーションやサーバに影響を与えないように通過させるこ
とができるようになった。その結果、第2のネットワー
クに接続された装置の安全性を確保しながら、第1のネ
ットワークで配信されるマルチキャストパケットを第2
のネットワーク上の装置が取得できる。As described above, in the gateway device of the present invention, since the multicast packet can be relayed only while the multicast packet is being distributed, only the necessary multicast packet affects other applications and servers. Can now be passed through as if it weren't. As a result, while ensuring the security of the devices connected to the second network, the multicast packets distributed on the first network are transmitted to the second network.
Devices on this network.
【0038】また、本発明のマルチキャストパケット中
継プログラムを記録したコンピュータ読み取り可能な記
録媒体では、記録されたマルチキャストパケット中継プ
ログラムをコンピュータに実行させることにより、マル
チキャストパケットが配信される間だけそのマルチキャ
ストパケットの中継を可能とするような処理をコンピュ
ータに行わせることができる。In a computer readable recording medium on which the multicast packet relay program of the present invention is recorded, the computer can execute the recorded multicast packet relay program so that the computer can execute the multicast packet relay program only while the multicast packet is being distributed. It is possible to cause a computer to perform processing that enables relaying.
【図1】本発明の原理構成図である。FIG. 1 is a principle configuration diagram of the present invention.
【図2】本発明を適用するネットワークの概念図であ
る。FIG. 2 is a conceptual diagram of a network to which the present invention is applied.
【図3】ゲートウェイ装置の内部構成を示す図である。FIG. 3 is a diagram showing an internal configuration of a gateway device.
【図4】マルチキャストパケットの中継処理手順を示す
フローチャートである。FIG. 4 is a flowchart showing a multicast packet relay processing procedure.
【図5】SAP情報の例を示す図である。FIG. 5 is a diagram showing an example of SAP information.
【図6】受信メディア情報の内部表現構造体の例を示す
図である。FIG. 6 is a diagram illustrating an example of an internal representation structure of received media information.
【図7】SDP情報読み込み/解析処理のフローチャー
トである。FIG. 7 is a flowchart of SDP information reading / analyzing processing.
【図8】通過ルール追加処理ルーチンのフローチャート
である。FIG. 8 is a flowchart of a passage rule addition processing routine.
【図9】不要ルール削除/情報整理ルーチンのフローチ
ャートである。FIG. 9 is a flowchart of an unnecessary rule deletion / information arrangement routine.
【図10】初期パケットフィルタルール情報の例を示す
図である。FIG. 10 is a diagram illustrating an example of initial packet filter rule information.
【図11】追加登録されるパケットフィルタルールを示
す図である。FIG. 11 is a diagram illustrating a packet filter rule additionally registered.
1 ゲートウェイ装置 1a 受信手段 1b 送信手段 1c フィルタリング手段 1ca パケットフィルタルール情報 1d 情報解析手段 1e 中継許可情報登録手段 1f 中継許可情報取消手段 1g 受信メディア情報 2 第1のネットワーク 2a 配信予定情報 2b マルチキャストパケット 3 第2のネットワーク DESCRIPTION OF SYMBOLS 1 Gateway apparatus 1a Receiving means 1b Transmission means 1c Filtering means 1ca Packet filter rule information 1d Information analysis means 1e Relay permission information registration means 1f Relay permission information cancellation means 1g Received media information 2 First network 2a Distribution schedule information 2b Multicast packet 3 Second network
Claims (3)
トウェイ装置において、 前記マルチキャストパケットが配信される期間が示され
た配信予定情報と前記マルチキャストパケットとを、第
1のネットワークから受信する受信手段と、 前記マルチキャストパケットを中継するための条件が登
録されたパケットフィルタルール情報を保持しており、
前記パケット受信手段が受信した前記マルチキャストパ
ケットの中継が前記パケットフィルタルール情報におい
て許されているか否かを判断するフィルタリング手段
と、 前記フィルタリング手段により中継が許可されていると
判断された前記マルチキャストパケットを、第2のネッ
トワーク上へ送信するパケット送信手段と、 前記パケット受信手段が受信した前記配信予定情報に基
づいて、前記マルチキャストパケットの宛先アドレス
と、宛先となるアプリケーションプログラムの識別子と
の組からなる宛先情報、及び配信期間を示す配信期間情
報を含む受信パケット情報を生成する情報解析手段と、 前記情報解析手段が生成した前記受信パケット情報の宛
先情報に合致する前記マルチキャストパケットが中継さ
れるように、前記パケットフィルタルール情報の内容を
更新する中継許可情報登録手段と、 前記情報解析手段が生成した前記受信パケット情報に示
された配信期間が過ぎた前記マルチキャストパケットが
中継されないように、前記パケットフィルタルール情報
の内容を更新する中継許可情報取消手段と、 を有することを特徴とするゲートウェイ装置。1. A gateway device for relaying a multicast packet, receiving means for receiving, from a first network, distribution schedule information indicating a period during which the multicast packet is distributed, and the multicast packet; Holds packet filter rule information in which conditions for relaying
Filtering means for determining whether or not relaying of the multicast packet received by the packet receiving means is permitted in the packet filter rule information; and filtering the multicast packet determined to be permitted to be relayed by the filtering means. Based on the distribution schedule information received by the packet receiving unit, a destination including a set of a destination address of the multicast packet and an identifier of an application program serving as a destination. Information, and information analysis means for generating reception packet information including distribution period information indicating a distribution period, so that the multicast packet matching the destination information of the reception packet information generated by the information analysis means is relayed. The packet Relay permission information registering means for updating the contents of the filter rule information; and contents of the packet filter rule information so that the multicast packet whose delivery period indicated by the received packet information generated by the information analyzing means has passed is not relayed. And a relay permission information canceling means for updating the information.
情報に対する有効期間を定め、 前記中継許可情報取消手段は、前記受信パケット情報の
有効期間が切れた場合には、前記受信パケット情報に登
録された前記マルチキャストパケットが中継されないよ
うに、前記パケットフィルタルール情報の内容を更新す
る、 ことを特徴とする請求項1記載のゲートウェイ装置。2. The information analysis means determines a validity period for the received packet information, and the relay permission information canceling means registers the received packet information when the validity period of the received packet information expires. The gateway device according to claim 1, wherein the content of the packet filter rule information is updated so that the multicast packet is not relayed.
のマルチキャストパケット中継プログラムを記録したコ
ンピュータ読み取り可能な記録媒体において、 前記マルチキャストパケットが配信される期間が示され
た配信予定情報と前記マルチキャストパケットとを、第
1のネットワークから受信する受信手段、 前記マルチキャストパケットを中継するための条件が登
録されたパケットフィルタルール情報を保持しており、
前記パケット受信手段が受信した前記マルチキャストパ
ケットの中継が前記パケットフィルタルール情報におい
て許されているか否かを判断するフィルタリング手段、 前記フィルタリング手段により中継が許可されていると
判断された前記マルチキャストパケットを、第2のネッ
トワーク上へ送信するパケット送信手段、 前記パケット受信手段が受信した前記配信予定情報に基
づいて、前記マルチキャストパケットの宛先アドレス
と、宛先となるアプリケーションプログラムの識別子と
の組からなる宛先情報、及び配信期間を示す配信期間情
報を含む受信パケット情報を生成する情報解析手段、 前記情報解析手段が生成した前記受信パケット情報の宛
先情報に合致する前記マルチキャストパケットが中継さ
れるように、前記パケットフィルタルール情報の内容を
更新する中継許可情報登録手段、 前記情報解析手段が生成した前記受信パケット情報に示
された配信期間が過ぎた前記マルチキャストパケットが
中継されないように、前記パケットフィルタルール情報
の内容を更新する中継許可情報取消手段、 としてコンピュータを機能させることを特徴とするマル
チキャストパケット中継プログラムを記録したコンピュ
ータ読み取り可能な記録媒体。3. A computer-readable recording medium on which a multicast packet relay program for relaying a multicast packet is recorded, comprising: distribution schedule information indicating a period in which the multicast packet is distributed; Receiving means for receiving from the first network, holding packet filter rule information in which conditions for relaying the multicast packet are registered;
Filtering means for determining whether or not relaying of the multicast packet received by the packet receiving means is permitted in the packet filter rule information; andthe multicast packet determined to be relayed by the filtering means. Packet transmitting means for transmitting on a second network, based on the distribution schedule information received by the packet receiving means, destination information comprising a set of a destination address of the multicast packet and an identifier of an application program as a destination, Information analyzing means for generating received packet information including distribution period information indicating a distribution period, and the packet filter so that the multicast packet matching the destination information of the received packet information generated by the information analyzing means is relayed. Relay permission information registering means for updating the contents of the rule information, the contents of the packet filter rule information being updated so that the multicast packet whose delivery period indicated by the received packet information generated by the information analyzing means has not passed is not relayed. A computer-readable recording medium on which a multicast packet relay program is recorded, wherein the computer functions as a relay permission information canceling means for updating.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP19995398A JP3656418B2 (en) | 1998-07-15 | 1998-07-15 | Computer-readable recording medium recording gateway device and multicast packet relay program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP19995398A JP3656418B2 (en) | 1998-07-15 | 1998-07-15 | Computer-readable recording medium recording gateway device and multicast packet relay program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000032049A true JP2000032049A (en) | 2000-01-28 |
| JP3656418B2 JP3656418B2 (en) | 2005-06-08 |
Family
ID=16416357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP19995398A Expired - Fee Related JP3656418B2 (en) | 1998-07-15 | 1998-07-15 | Computer-readable recording medium recording gateway device and multicast packet relay program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3656418B2 (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002064487A (en) * | 2000-08-23 | 2002-02-28 | Nippon Telegr & Teleph Corp <Ntt> | Stream transmission apparatus |
| JP2003509903A (en) * | 1999-09-09 | 2003-03-11 | ノキア コーポレイション | IN controlled multicast |
| JP2005064583A (en) * | 2003-08-12 | 2005-03-10 | Ntt Docomo Inc | Data relaying apparatus and data relaying method |
| US7570635B2 (en) | 2004-02-27 | 2009-08-04 | Fujitsu Limited | Multicast network unit, multicast network system, and multicast method |
| JP2010537531A (en) * | 2007-08-21 | 2010-12-02 | ベックホフ オートメーション ゲーエムベーハー | Control node for a network consisting of multiple control nodes |
| JP2013502890A (en) * | 2009-08-24 | 2013-01-24 | インテル・コーポレーション | Method and apparatus for improved multicast broadcast service |
-
1998
- 1998-07-15 JP JP19995398A patent/JP3656418B2/en not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003509903A (en) * | 1999-09-09 | 2003-03-11 | ノキア コーポレイション | IN controlled multicast |
| JP2002064487A (en) * | 2000-08-23 | 2002-02-28 | Nippon Telegr & Teleph Corp <Ntt> | Stream transmission apparatus |
| JP2005064583A (en) * | 2003-08-12 | 2005-03-10 | Ntt Docomo Inc | Data relaying apparatus and data relaying method |
| US7570635B2 (en) | 2004-02-27 | 2009-08-04 | Fujitsu Limited | Multicast network unit, multicast network system, and multicast method |
| JP2010537531A (en) * | 2007-08-21 | 2010-12-02 | ベックホフ オートメーション ゲーエムベーハー | Control node for a network consisting of multiple control nodes |
| JP2013502890A (en) * | 2009-08-24 | 2013-01-24 | インテル・コーポレーション | Method and apparatus for improved multicast broadcast service |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3656418B2 (en) | 2005-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3443529B2 (en) | Method of providing firewall service and computer system providing firewall service | |
| JP4537579B2 (en) | Bidirectional process-to-process byte stream protocol | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| JP4690480B2 (en) | How to provide firewall service | |
| JP3464610B2 (en) | Packet verification method | |
| US7930750B1 (en) | Method to trickle and repair resources scanned using anti-virus technologies on a security gateway | |
| US8856884B2 (en) | Method, apparatus, signals, and medium for managing transfer of data in a data network | |
| JP3459183B2 (en) | Packet verification method | |
| CN1574839B (en) | Multi-layered firewall architecture | |
| US20090129389A1 (en) | Method for managing frames in a global-area communications network, corresponding computer-readable storage medium and tunnel endpoint | |
| US20060168260A1 (en) | Providing secure access through network firewalls | |
| JP4758362B2 (en) | Relay device, program, and relay method | |
| Zenel | A proxy-based filtering mechanism for the mobile environment | |
| JP2004364305A (en) | Method for managing policy on network filter type base | |
| JPH1070576A (en) | Fire wall dynamic control method | |
| JP4290198B2 (en) | Flexible network security system and network security method permitting reliable processes | |
| JP2000032049A (en) | Gateway device, and computer readable recording medium recorded with multi-cast packet relay program | |
| US20020138627A1 (en) | Apparatus and method for managing persistent network connections | |
| JP3581345B2 (en) | Packet transfer device and packet transfer method | |
| US8045564B2 (en) | Protocol-level filtering | |
| JP2004005418A (en) | Agent device, image forming device management system, method and program thereof and recording medium | |
| JP4040045B2 (en) | Data transfer device | |
| CN110224932B (en) | Method and system for rapidly forwarding data | |
| WO2010035216A1 (en) | Method and apparatus for reducing port contention | |
| JP2002305533A (en) | Database management device, database management method and storage medium therefor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041021 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041026 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050215 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050228 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080318 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090318 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100318 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110318 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |